Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 506 507 508 509 510 511 512 513 514 515 516 ... 1784 След.
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 09:53:43
пока выполните последние рекомендации по очистке в frst
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = winlogon.exe(764) - модифицированный Win32/Dorkbot.B червь - очистка невозможна, Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 09:52:41
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 09:00:19
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Quick Searcher) - C:\Users\Мария\AppData\Roaming\Opera Software\Opera Stable\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2015-07-02]
EmptyTemp:
Reboot:
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 08:57:50
Алексей, вы определитесь.
360 тотал вам нужен на компьютере или нет.
сейчас это единственный антивирус на компе.
---------
другие логи сейчас гляну
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 07:34:30
да, будет удален.
[ Как создать образ автозапуска? ]
Перейти
Проблема с иконками рабочего стола, Значки Раб.Ст. автоматически меняют расположение после нажатия обновить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2015 07:33:19
надо смотреть настройки ярлыков. если для них выбрано автоматическое расположение, то они и будут слетать, как бы вы их не размещали на рабочем столе.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2015 17:50:13
упорный попался юрист.
раз 12 пробовал открыть документ из архива.
надо добавлять политики ограниченного запуска исполняемых программ из архивов.
надежды мало на внимательность менеджеров при работе с почтой.



выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 4A68F1DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C30E24C7823CB44A966E20FC46EC86A96C136F25D01E357E60D2D283EB7A 8 Ransom:Win32/Criakl.D [Microsoft]

zoo %SystemDrive%\TEMP\RAR$EX02.443\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.122\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.027\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.152\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.448\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.463\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.306\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.305\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.304\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.288\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.334\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.459\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deltmp
delnfr
czoo
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2015 16:04:52
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1A304F9A5583348CF42B254E3143FE8E6082AA7D783C5974854605C9333EC87923174A1136DED525A28E0FD72E9F07FEF6D1D37F2DC7F32C59652F22531A6173 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\WINDOWS LIVE\XGYDARQYWG.EXE
addsgn 1A114C9A5583348CF42B254E3143FE84C9A2FFF68959C72FC0C34CB18481344CAA0213007B551454E7D7C19FCF2381AD38DF614F918DF52C4BFBB1DF90432215 8 Dork

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\WINDOWS\THEMES\UZYMYG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\WINDOWSUPDATE\UPDATER.EXE
chklst
delvir
; storegid
exec C:\Documents and Settings\Admin\Local Settings\Application Data\storegid\uninstall.exe
; WebSecurity Extension version 16.40
exec C:\Program Files\Microsoft Data\unins000.exe
; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2015 13:43:40
360 тотал у вас функционирует нормально? судя по образу - нет.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2015 05:37:33
в данном случае, нет.
только через электронную почту
при условии, что кто-то из сотрудников  открывает все письма подряд
Изменено: santy - 22.02.2020 16:45:48
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 506 507 508 509 510 511 512 513 514 515 516 ... 1784 След.